Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
HTTPmodification de l'en-tête de votre Application Load Balancer
HTTPla modification des en-têtes est prise en charge par les équilibreurs de charge d'application, à la fois pour les en-têtes de demande et de réponse. Sans avoir à mettre à jour le code de votre application, la modification de l'en-tête vous permet de mieux contrôler le trafic et la sécurité de vos applications.
Renommer les en-têtes
La fonctionnalité de renommage des en-têtes vous permet de renommer tous les en-têtes Transport Layer Security (TLS) que l'Application Load Balancer génère et ajoute aux demandes, y compris les en-têtes de six TLS m et les TLS deux en-têtes, version et chiffre.
Cette possibilité de modifier HTTP les en-têtes permet à votre Application Load Balancer de prendre facilement en charge les applications qui utilisent des en-têtes de demande et de réponse spécifiquement formatés.
| En-tête | Description |
|---|---|
|
Numéro de série X-Amzn-Mtls-Clientcert |
Garantit que la cible peut identifier et vérifier le certificat spécifique présenté par le client lors de la TLS poignée de main. |
|
Émetteur du certificat client X-Aman-Mtls- |
Aide la cible à valider et à authentifier le certificat client en identifiant l'autorité de certification qui a émis le certificat. |
|
Objet du certificat client X-Amzn-Mtls- |
Fournit à la cible des informations détaillées sur l'entité à laquelle le certificat client a été délivré, ce qui facilite l'identification, l'authentification, l'autorisation et la journalisation lors de TLS l'authentification m. |
|
Validité du certificat client X-Amzn-Mtls- |
Permet à la cible de vérifier que le certificat client utilisé respecte la période de validité définie, en veillant à ce que le certificat n'ait pas expiré ou n'ait pas été utilisé prématurément. |
|
X-Aman-Mtls-Clientcert-Leaf |
Fournit le certificat client utilisé dans le TLS handshake m, permettant au serveur d'authentifier le client et de valider la chaîne de certificats. Cela garantit que la connexion est sécurisée et autorisée. |
|
Certificat client X-Aman-Mtls |
Porte le certificat client complet. Permettre à la cible de vérifier l'authenticité du certificat, de valider la chaîne de certificats et d'authentifier le client pendant le processus de m TLS handshake. |
|
Version X-Amzn- TLS |
Indique la version du TLS protocole utilisée pour une connexion. Il permet de déterminer le niveau de sécurité de la communication, de résoudre les problèmes de connexion et de garantir la conformité. |
|
Suite de chiffrement X-Amzn- TLS |
Indique la combinaison d'algorithmes cryptographiques utilisés pour sécuriser une connexion dansTLS. Cela permet au serveur d'évaluer la sécurité de la connexion, de résoudre les problèmes de compatibilité et de garantir le respect des politiques de sécurité. |
Pour permettre à votre écouteur Application Load Balancer de renommer les en-têtes de demande, utilisez la commande suivante :
aws elbv2 modify-listener-attributes \
--listener-arn ARN \
--attributes Key="routing.http.request.actual_header_field_name.header_name",Value="desired_header_field_name"Insérer des en-têtes
À l'aide des en-têtes d'insertion, vous pouvez configurer votre Application Load Balancer pour ajouter des en-têtes liés à la sécurité aux réponses. Avec dix nouveaux attributs, vous pouvez insérer des en-têtes tels que HSTSCORS, etCSP.
La valeur par défaut pour tous ces en-têtes est vide. Dans ce cas, l'Application Load Balancer ne modifie pas cet en-tête de réponse.
| En-tête | Description |
|---|---|
|
Strict-Transport-Security |
Applique HTTPS uniquement les connexions par le navigateur pendant une durée spécifiée, ce qui contribue à la protection contre les man-in-the-middle attaques, les rétrogradations de protocole et les erreurs des utilisateurs, en garantissant que toutes les communications entre le client et la cible sont cryptées. |
|
Access-Control-Allow-Origin |
Contrôle si les ressources d'une cible sont accessibles depuis différentes origines. Cela permet de sécuriser les interactions entre origines tout en empêchant les accès non autorisés. |
|
Access-Control-Allow-Methods |
Spécifie les HTTP méthodes autorisées lors de l'envoi de demandes d'origine croisée à la cible. Il permet de contrôler les actions pouvant être effectuées à partir de différentes origines. |
|
Access-Control-Allow-Headers |
Spécifie quels en-têtes personnalisés ou non simples peuvent être inclus dans une demande d'origine croisée. Cet en-tête permet aux cibles de contrôler quels en-têtes peuvent être envoyés par des clients d'origines différentes. |
|
Access-Control-Allow-Credentials |
Spécifie si le client doit inclure des informations d'identification telles que des cookies, une HTTP authentification ou des certificats clients dans les demandes d'origine croisée. |
|
Access-Control-Expose-Headers |
Permet à la cible de spécifier les en-têtes de réponse supplémentaires auxquels le client peut accéder dans le cadre de demandes d'origine croisée. |
|
Access-Control-Max-Age |
Définit la durée pendant laquelle le navigateur peut mettre en cache le résultat d'une demande de pré-vol, réduisant ainsi le besoin de vérifications répétées avant le vol. Cela permet d'optimiser les performances en réduisant le nombre de OPTIONS demandes requises pour certaines demandes d'origine croisée. |
|
Content-Security-Policy |
Fonctionnalité de sécurité qui empêche les attaques par injection de code, XSS par exemple en contrôlant les ressources telles que les scripts, les styles, les images, etc. qui peuvent être chargées et exécutées par un site Web. |
|
X-Content-Type-Options |
La directive no-sniff renforce la sécurité du Web en empêchant les navigateurs de deviner le MIME type d'une ressource. Cela garantit que les navigateurs n'interprètent le contenu qu'en fonction du type de contenu déclaré |
|
X-Frame-Options |
Mécanisme de sécurité des en-têtes qui aide à prévenir les attaques de click-jacking en contrôlant si une page Web peut être intégrée dans des cadres. Des valeurs telles que DENY et SAMEORIGIN peuvent garantir que le contenu n'est pas intégré sur des sites Web malveillants ou non fiables. |
Pour configurer l'écouteur Application Load Balancer afin d'insérer l'HSTSen-tête, utilisez la commande suivante :
aws elbv2 modify-listener-attributes \
--listener-arn ARN \
--attributes Key="routing.http.response.strict_transport_security.header_value",Value="max-age=time_in_sec;includeSubdomains;preload;"Désactiver les en-têtes
À l'aide des en-têtes de désactivation, vous pouvez configurer votre Application Load Balancer pour désactiver server:awselb/2.0 l'en-tête dans les réponses. Cela réduit l'exposition aux informations spécifiques au serveur, tout en ajoutant une couche de protection supplémentaire à votre application.
Le nom de l'attribut estrouting.http.response.server.enabled. Les valeurs disponibles sont true oufalse. La valeur par défaut est true.
Configurez votre écouteur Application Load Balancer pour ne pas insérer l'serveren-tête à l'aide de la commande suivante :
aws elbv2 modify-listener-attributes \
--listener-arn ARN \
--attributes Key="routing.http.response.server.enabled",Value=falseLimites:
-
Les valeurs d'en-tête peuvent contenir les caractères suivants
-
Caractères alphanumériques :
a-zA-Z, et0-9 -
Caractères spéciaux :
_ :;.,\/'?!(){}[]@<>=-+*#&`|~^%
-
-
La valeur de l'attribut ne peut pas dépasser 1 000 octets.
-
Elastic Load Balancing effectue des validations d'entrée de base pour vérifier que la valeur de l'en-tête est valide. Cependant, la validation ne permet pas de confirmer si la valeur est prise en charge pour un en-tête spécifique.
-
La définition d'une valeur vide pour n'importe quel attribut entraînera le retour de l'Application Load Balancer au comportement par défaut.
-
Les en-têtes ne seront insérés que dans les HTTP réponses avec les codes 2xx ou 3xx
Pour de plus amples informations, veuillez consulter Attributs de l'écouteur.
